揭秘地下網路黑色產業鏈:為什麼普通駭客也能月入80000美元?

揭秘地下網路黑產鏈:為什麼普通駭客也能月入80000美元?

原文:《Some hackers make more than 80,000 a month — here’s how》,出自Business Insider。

就像組織嚴密的現代黑幫一樣,網路黑產到如今已經商業化得非常成熟了,駭客們同樣擁有複雜精巧的產業鏈,每天在全球黑產網路中流轉的交易額數以億計,整體規模更難以估測。

但其中每個駭客的具體收入如何?駭客是如何進行攻擊準備的?他們是如何進行內部交易的,並遵循某些規則不相互越界呢?

一些安全研究者長期潛伏在地下黑色產業鏈網路中,近距離觀察其運作模式——

儘管本文所披露的只是“地下世界的一瞬,不足以描述其萬分之一”,但還是為我們真實揭示了駭客世界不擇手段竊取金錢的產業鏈。

首先,對於互聯網我們應該知道,可公開訪問的網站只佔數據資訊的一部分,如同海面之下的冰山,還存在一個更龐大的、採取非公開機制訪問的平行網路世界——暗網。這裡才是一切法律嚴加打擊但暴利的交易活躍之地——如盜版、色情、買兇、軍火、恐怖分子,當然也包括駭客。

進入駭客聚集的地下交易場

匿名訪問的隱私駭客論壇是散落暗網中的駭客交易場,一旦你被駭客圈子或組織認可,能夠進入暗網中的駭客論壇上就可以找到各種非法服務,可以讓一個普通駭客都能快速發起一次網路攻擊。

564d8c618b355

 

這些論壇無法搜索定位,需要很多的驗證程序及其他駭客會員擔保。上圖為一個俄羅斯駭客論壇的截圖,可以看到,這里駭客正在推銷多款惡意軟體,包括特洛伊木馬、殭屍網路等。

駭客基礎裝備之攻擊工具包(Exploit Kits)

Exploit Kits像瑞士軍刀一樣整合了網路攻擊所需的眾多組件,使大規模網路攻擊裝備化,因為大大提升了攻擊的成功率受到駭客的日益青睞,未使用之前,駭客的成功率一般為10% ,使用之後就可能提升到40%。

 

那麼Exploit Kits裡面究竟有哪些構成呢?

564d629071010上圖為一個典型Exploit Kits的“解剖切片”,可以看到有惡名昭彰的網銀木馬Zeus、Vawtrak、勒索軟體nymaim、比特幣敲詐病毒CTB-Locker等。

564d62a901730

這是一個真實的由駭客打造的攻擊工具包叫做RIG,正在論壇上租售,這個文章描述(文為俄語)了該工具包的應用環境是X86/X64下的Window系統,可繞過微軟用戶帳戶控制系統;支持大流量攻擊;擁有兩種不同的勒索付費通道;支持自動加載網頁鏈接;可應用到的多個漏洞列表;平均攻擊成功率達到10%~15%;保證不被殺毒軟體發現等特性。

更重要的是該工具包的租用費用:30美元24小時;150美元一周;500美元一個月。這個費用並不高。

攻擊工具包(Exploit Kits)的商業模式

564d62ce3626f

RIG工具包的商用模式有些類似零售,有中央倉儲和多級經銷商,RIG可以直接向終端駭客銷售,同時也支持多級銷售,其他駭客可以將這個工具以更高的價格轉售出去,按照一周獲取600個客戶,每家支付150美元的話,RIG的周盈利高達9萬美元。

在“零售”模式之外,目前還時興一種“直銷分成”的商用模式,RIG製造者將工具免費提供給駭客,最終從攻擊成果中分成。

例如當駭客使用了該工具包侵入了一個網站,其中5~20%的流量歸“巨頭”控制,具體如何從中獲利也由“巨頭”自己把握。這種模式更加高明,購買者無需支付任何費用就有機會獲取可觀回報,肯定使用者眾多,同時也不影響RIG另外並行的“零售”交易。

在駭客產業鏈上,像RIG這樣的工具和其他服務(後續將一一介紹)的製造者才是產業中堅,他們隱身在實際執行攻擊的普通駭客之後,為 其提供材料、裝備、服務,也獲得利潤中最豐厚的一層,被稱為“黑執事”(英文為Magnitude)。

為方便後續描述,先做提前說明,下文中的黑執事是駭客服務的提供者,駭客產業鏈的上游。駭客就是網路攻擊執行者,是產業鏈終端。受害者就是被攻擊的普通網路用戶。

網路綁票:勒索軟體正在流行

通過RIG工具包,駭客還可以分發惡名昭著的勒索軟體Cryptowall,勒索軟體採取一個簡單粗暴的吸金邏輯,當受害者的電腦被感染,電腦中的文件就會被加密,受害者無法再訪問自己的文件,如果想要回控制權,就要按照駭客要求繳納贖金,一般是比特幣。
最近網路勒索事件層出不窮,很多用戶或企業都深受其害,據觀察,一個勒索帳戶一周就可以收到6萬美元。

勒索軟體善於抓住人們的心理弱點,駭客也喜歡入侵色情網站並註入惡意鏈接,當用戶點擊了這些惡意鏈接進入非法網站時,駭客就有無數種辦法勒索用戶。

564d630a2ddc2

這是一個真實的用戶收到的勒索軟體恐嚇信息:

首先恐嚇用戶做了壞事被發現,所以才有這一劫,告知文件已被加密,利用用戶下意識的花錢免災的心理,要求其繳納贖金獲得解密密碼,如果12個小時後還沒有繳納,電腦將永遠不可使用。

564d631d73983

這是另一個設計更加精妙的勒索軟體信息,駭客偽造了網址,讓受害者以為是來自政府機構FBI的通告,甚至虛構了一個法律罪名叫做“個人電腦管理不妥善使用罪”,基於這個完全胡扯的法律名目,受害者被指控三項罪名:

非法下載傳播有版權的電子資產。
瀏覽和傳播色情資料。
電腦在受害者不知情的情況下,被定位為惡意軟體的傳播源。所以電腦文件被加密鎖定,受害者需繳納贖金來解鎖。

儘管這些消息看起來毫無依據,但結果是勒索軟體正源源不斷收到贖金。

564d6436474af

更絕的是為了讓受害者相信交錢後文件可以恢復,勒索軟體還提供一個“免費測試機會”,點擊後,受害者的文件可以解鎖一到五個,但無法指定,這個功能出現在頂級勒索軟體CoinVault和CTB Locker中。
黑色產業鏈中的專業外包服務:幫助惡意軟體逃脫檢測

除了出售工具包,一些黑執事還出售其他附加服務提升攻擊成功率,這些服務可以稱之為駭客產業鏈上的“專業外包服務”,其中之一為“檢測逃脫”服務。當該服務加載到惡意軟體時,就可以逃脫殺毒軟體的掃描。要知道,目前安全公司最主要的工作就是分析病毒特徵並更新到自己的病毒庫。

564d6470a3f27

這項服務在駭客論壇公然出售,廣告上一般會列出效果對比,如上圖看到的,使用了服務,全球35個殺毒軟體中27個可檢測到,而使用後則全部免疫。

564d648688973

黑執事很懂生意,他們有時會提供特殊折扣吸引顧客,上圖寫著,下個月每週一前三個顧客可享受一單免費的優惠。

564d64a47a7f0

一些甚至提供定制服務,例如客戶購買一個3000美元的駭客攻擊軟體,附送一個月的免費支持,額外服務支持一個月需加300美元。

普通駭客發起一項攻擊需要投入多少?

正如你所見,駭客發起一項攻擊需要做好準備工作以及物資採購,那麼大概需要花費多少錢呢?

一般來說,你需要購買或者租用工具包,並附加一些服務增加成功率,特別是付費通道來收取費用,還需要購買一些流量,讓我們計算一下:

付費通道購買:3000美元一個月
檢測逃脫服務:20美元*30天=600美元
攻擊工具包:500美元一個月
流量:300美元*6=1800美元
共計:5900美元/月

投入總計大約5900美元一個月,看起來很多對嗎?那讓我們看看駭客可以賺到多少?

一個月駭客可以賺到多少錢?

在支出6萬美元之後,駭客一定是預期回報遠大於投入的,事實也是這樣的。

在觀測到的數據上再做保守估算,平均每天有2萬人點擊惡意鏈接,一般大概有10%的機率被感染,如果用了勒索軟體,大概又有0.5%的受害者付費。這意味著,駭客日收入大概是3,000美元,除去前期支出,月收入高達8,4000美元。

日平均點擊惡意鏈接用戶數:20,000
通常工具攻擊包的成功率:10%
受害者付費比:0.5%
日收入:20,000美元*10%*0.5%*300美元=3000美元
月收入:90,000美元
淨收入:90,000 -5,900 =84,100美元

在駭客產業鏈的支持下,一個不需要有多高技術能力的駭客也可以輕易通過攻擊活動賺得飽飽,這也是當前網路安全事件異常猖獗的主要原因。

駭客服務之數位證書籤名服務

數位證書就是互聯網通訊中標誌通訊各方身份信息的一串數字,提供了一種在Internet上驗證通信實體身份的方式。它是由權威機構——CA機構,又稱為證書授權(Certificate Authority)中心發行的,人們可以在網上用它來識別對方的身份。

通常情況下,已簽名的證書就代表著值得信任。

564d64e2909ee

但一些駭客服務已開始出售惡意軟體的簽名服務,可以將檢測機率降低80%。如圖所示,這個簽名服務聲稱可提供來自Thawte和Comodo證書授證(Certificate Authority)中心的簽名服務,可用於任何可執行文件,費用為$600。

駭客服務之IP信譽庫

這項服務解釋起來有些困難,IP就是網路地址。正常情況下,IP信譽庫一般被安全機構用於辨識、過濾、阻斷那些垃圾郵件發布機構,或者不受信任的惡意網站,但由於官方機構和安全廠商自己也會有官方IP地址以及用於誘捕惡意軟體的“蜜罐”IP地址,所以駭客如果提前知道這些IP地址,就可以避過或者欺騙來這些目標的訪問。

564d64fa0f853

上圖中的服務廣告宣傳定期更新來自FBI、各大安全服務商的“蜜罐”IP,降低了駭客被捕捉的機率。

虛假殺毒軟體

有沒有想過,最恐怖的罪犯是什麼樣的?如果有些罪犯披著警服呢?
有一種惡意軟體叫做虛假殺毒軟體(或者流氓殺毒軟體),其理念非常簡單——看起來像反病毒產品,靠效果欺詐賺錢。

564d65155230d

這種軟體在名稱、界面、功能上全盤模仿正規殺毒軟體,當你點擊掃描時,會出現很長的感染警告,但沒一個是真的。但由於效果驚人,受害者反而需要付一大筆錢給這個虛假軟體,一般是$50~$70一個license,用戶量往往數以萬計。據了解,某個國際虛假殺毒軟體由三個駭客維護,年收入近百萬美元。

駭客工具之Web Shells:非法控製網站服務的鑰匙

還有一種駭客主要針對網站,由於很多網站的運作維護管理很差,駭客可以很輕易攻入網站服務並取得全部權限,從而也獲得網站上很多機密數據如用戶信用卡信息等。使用Web Shells是攻擊網站服務的主要方式之一。基於Web Shells,駭客可以上傳文件,在網站內自動添加惡意鏈接,操作本機文件等。

564d653386d15

Web Shells的價值主要取決於它可以攻破的網站價值,所以從上圖看到,當售賣Web Shells時,也會列出目標網站Alexa排名和獨立訪客量等指標。

564d654442918

更嚴重的Web Shell可用於滲透那些掌握了客戶信用卡等重要信息的網站,例如電子商務、金融等。盜取這些用戶信息還可用於其他駭客活動。據安全專家估計,每個月都有數千網站被滲透。

黑色產業鏈之用戶數據交易

564d8c618b355

用戶個人資訊在駭客看來是很有價值的,特別是那些涉及到支付的信用卡資訊,上圖是一個駭客發佈在論壇上售賣信用卡帳戶數據的文章,價格取決於客戶餘額,一般來說,如果一條帳戶餘額為$100,000的用戶資訊價格為$10。

564d65867e583

甚至產生了專門售賣信用卡資訊的網站,用戶記錄數以萬計,如上圖這個活躍的網站,有供出售的信用卡記錄近800頁,很多記錄都是最近添加的。

564d658d2a155

購買這些數據非常簡單,就像其他電子商務網站一樣,可以自由選擇購買,支持比特幣支付。

一路看下來的你一定對網路犯罪有了全新認識,而且這裡所揭示的也不過是冰山一角,網路安全和駭客攻擊一直在持續鬥爭,所謂道高一尺,魔高一丈,但用戶特別是企業的安全意識是其中決定性因素,認真研究攻防,築起防護門檻,保持警惕狀態,做好準備,都可以讓駭客攻擊的成本提升,減少受害機率。

 

出處:雷鋒網

作者:E安全青藤安全雷達小组

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *

Loading